Windows-driver ShieldFS detecteert ransomwareaanvallen en herstelt bestanden

Onderzoekers van de Polytechnische Universiteit van Milaan hebben op de Black Hat-beveiligingsconferentie een Windows-driver onder de naam ShieldFS gepresenteerd. Deze moet aanvallen door ransomware kunnen herkennen en versleutelde bestanden herstellen.

Om ShieldFS te ontwikkelen identificeerden de wetenschappers eerst verschillende eigenschappen die ransomware onderscheiden van legitieme applicaties, zeiden Federico Maggi en Andrea Continella. Zo doorzoekt deze vorm van malware het bestandssysteem naar een groot aantal verschillende bestandstypes en hernoemt hij bovendien vaak een grote hoeveelheid bestanden. Daarnaast worden er in korte tijd veel lees- en schrijfacties uitgevoerd. Deze activiteiten worden met behulp van i/o request packets vastgelegd en in de gaten gehouden met de Windows-minifilter.

Door dit soort data van vijf verschillende ransomwaretypes in virtual machines te verzamelen, konden ze met die data vervolgens een machinelearningmodel trainen. Ze trainden de data ook met data van legitieme applicaties, die voortkwam uit de activiteit van elf gebruikers van schone systemen. In de loop van een maand werd zo de activiteit van meer dan tweeduizend applicaties vastgelegd. Naast het gedrag van een proces kijkt ShieldFS naar de aanwezigheid van tekenen van cryptografische functies in het geheugen, die ontstaan door het versleutelen van bestanden. Door deze combinatie zou het systeem een zeer lage false positive-ratio hebben, aldus de onderzoekers.

Uit een proef bleek dat ShieldFS zo in staat was om ook ransomwarevarianten te herkennen die geen deel uitmaakten van de trainingsdata, waaronder WannaCry. Deze variant werd herkend nadat 133 bestanden waren versleuteld, die vervolgens allemaal hersteld konden worden. Herstel is mogelijk doordat het systeem meteen een kopie maakt van een bestand dat door een niet-vertrouwd proces wordt opgeroepen. Als dan naderhand uit de machinelearningmodellen blijkt dat het inderdaad om ransomware gaat, zet de driver het proces stil en de bestanden terug. De uiteindelijke detectieratio van ShieldFS komt neer op ongeveer 97 procent, waarbij in geen van de gevallen bestanden verloren gingen.

Dat laatste is mogelijk doordat er alsnog kopieën worden gemaakt, ook al herkent het systeem een proces niet als kwaadaardig. De uiteindelijke gevolgen voor de prestaties van een systeem met ShieldFS waren volgens de onderzoekers 'acceptabel' voor gebruikers. ShieldFS is ontwikkeld als een 'drop-in Windows-driver'. Zwakke plekken van het systeem zijn ransomware die langzaam te werk gaat en daardoor niet opvalt, of een variant die elke keer een nieuw proces aanmaakt om een enkel bestand te versleutelen. De onderzoekers benadrukten dat ShieldFS een onderzoekproject is en nog niet klaar is voor implementatie. Wel hebben ze in de VS patent aangevraagd.

shieldfs Schema van de werking, waarbij COW staat voor copy on write

IT-banen

Reacties (63)

erikloman 27 juli 2017 07:46

Hier beschrijven ze exact hoe CryptoGuard in HitmanPro.Alert werkt. Deze werkt ook met een minifilter driver die ransomware aanvallen op filesysteem niveau detecteert en een tijdelijke kopie (copy-on-write) terug zet wanneer een document versleuteld is geraakt. Werkt ook op servers.
Deze tecnologie was er ruim 2,5 jaar geleden al (toen nog gratis) - bedacht en gemaakt in Twente (Hengelo):
https://www.security.nl/posting/368931

jimbo123 @erikloman • 27 juli 2017 08:17

Onjuist. HitmanPro.Alert werkt niet op servers. De setup geeft dan al een melding dat servers niet ondersteund worden.

HitmanPro.Alert is overgenomen door Sophos en nu in Sophos Intercept-X verwerkt. Deze ondersteund wel servers.

erikloman @jimbo123 • 27 juli 2017 08:24

Intercept X = HitmanPro.Alert.
Exact dezelfde codebases en beide ondersteunen servers. Alleen vond Sophos het niet handig dat een tool van een paar tientjes ook op een server geïnstalleerd kon worden terwijl hun server product duurder is. Vandaar de hindernis van een messagebox.

jimbo123 @erikloman • 27 juli 2017 08:31

Voor een deel heb je gelijk. Wanneer je intercept-X installeert dan heet de service ook nog gewoon "HitmanPro.Alert". Ze hebben niet eens de moeite genomen om dat te renamen.

Intercept-X heeft echter ook een stukje exploit prevention en zaken als rootcause analyse, waardoor het toch net iets uitgebreider is als alleen hitmanpro.alert

erikloman @jimbo123 • 27 juli 2017 08:43

Exploit Prevention is ook HitmanPro.Alert:
nieuws: Nieuwe versie Hitman Pro Alert moet misbruiken beveiligingslek moeili...

Ik kan het weten want guess who made all of this?

terracide @erikloman • 27 juli 2017 09:20

Wie dan?

etrans @terracide • 27 juli 2017 09:37

https://www.linkedin.com/in/erikloman?ppe=1

terracide @etrans • 27 juli 2017 10:31

Eminus @erikloman • 27 juli 2017 11:04

doe de groeten aan Mark van Sander

Ik zie jullie 5 oktober neem ik aan ?

Mirano

@jimbo123 • 27 juli 2017 09:25

Waar kan ik dit software pakket kopen? Ik kan namelijk alleen als bedrijf een "pricing" krijgen

unaco @Mirano • 27 juli 2017 10:40

Sophos verkoopt alleen aan bedrijven via partners (https://www.sophos.com/partners/partner-locator.aspx ) echter, heeft Sophos sinds vorig jaar ook gratis Sophos home. Daar zit nu (officieel als beta) ook Ransomware protection (cryptoguard) in.

@jimbo123 volgende keer wellicht slim om ff te checken met wie je een disussie start

@erikloman

jimbo123 @unaco • 27 juli 2017 11:19

haha kom op, het is niet exact hetzelfde. Intercept-X werkt via Sophos Central en rapporteert terug naar een webinterface waarbij je rootcause analyse kunt doen. Er is een beheer laagje omheen gebouwd.

En particulieren kunnen gewoon Sophos kopen via een partner. Ben zelf partner en lever het wel vaker aan een particulier. Dat vindt Sophos niet erg.

[Reactie gewijzigd door jimbo123 op 23 juli 2024 16:25]

unaco @jimbo123 • 27 juli 2017 12:58

Redelijk off-topic maar; Sophos vindt dit wel erg omdat deze billings niet erkend kunnen worden en qua support is de partner dan volledig aansprakelijk aangezien Sophos geen support afdeling heeft / had voor consumenten. Met Sophos Home is dat veranderd en wordt daar een afdeling voor opgezet.

Bottomline; deze ShieldFS oplossing is niet nieuw maar zeker wel goed voor de markt en ja, Sophos kan en doet dit ook, inclusief (berperkt) op servers.

nightraven79 @Mirano • 27 juli 2017 10:15

ik heb de mijne via mijn Hermitage besteld,
basis gezien komt Intercept X op: 30.57€/jaar of 61.15€/3jaar.

Ik moet wel zeggen: heb ook al Sophos Endpoint (antivirus suite) draaien, en dan merk je, behalve het process Hitmanpro.alert proces niets van het feit dat Intercept Xwerkt

WhiteDog @erikloman • 27 juli 2017 15:41

Zit je nu niet onrechtstreeks Sophos te bashen terwijl je, gezien je job, toch een bepaalde band met ze hebt?

3raser @erikloman • 27 juli 2017 11:20

Zit er patent op? Dan zou ik ze even een mailtje sturen.

Grappig dat deze techniek al jaren oud is maar hier als dé vinding tegen cryptoware wordt aangekondigd.

Amito @erikloman • 27 juli 2017 11:32

Aparte actie om hier patent op aan te vragen als jullie (of moet ik zeggen jouw) pakket exact hetzelfde doet en al een paar jaar op de markt is. Tevens beter werkt door de hele proces van A tot Z in de gaten te houden en zodoende niet vatbaar is als de ransomeware langzaam te werk gaat en volgens mij ook tegen het steeds aanmaken van een nieuw proces voor het versleutelen.

johnkeates @erikloman • 27 juli 2017 12:30

En RansomWhere doet hetzelfde op macOS, waarbij de onderliggende technologie een paar jaar geleden op DEF CON gepresenteerd werd en de end-user binary ergens begin vorig jaar online kwam.

Bor Coördinator Frontpage Admins / FP Powermod

Ransomware

@erikloman • 27 juli 2017 14:08

Hitman Pro zorgt echter voor behoorlijk wat performance verlies en kent issues met sommige legitieme software waardoor het geheel instabiel kan worden. Zo zijn er bv issues met VMware workstation gemeld maar ook met zaken als Outlook. Wat betreft techniek is Hitman Pro niet helemaal uniek. Delen van functionaliteit worden bijvoorbeeld ook door Palo Alto Traps aangeboden (hoewel dat weer niet voor thuisgebruik is). Hitman Pro is een interessant product maar de issues die ik er mee heb ondervonden hebben mij weerhouden van aanschaf. In combinatie met een AV product als Bitdefender werden de klachten erger overigens.

obimk1 @erikloman • 27 juli 2017 13:19

Ter info:

Voor Mac heb je soortgelijke software, Ransomwhere.

https://objective-see.com/products/ransomwhere.html

rvnieuwh 27 juli 2017 07:42

<quote> However, this anti-virus tool is not ready for implementing in the real world and is still only a research product.</quote>

aldus: http://www.removemalwarevirus.com/shieldfs-tool-designed-stop-ransomware-data-encryption

Auteur

duqu @rvnieuwh • 27 juli 2017 07:54

Goede opmerking, die zet ik er voor de duidelijkheid nog bij.

jpsch @rvnieuwh • 27 juli 2017 10:32

'In the real world' kun je natuurlijk ook een tool aanbieden die shieldfs heet en ransomeware installeert.

fortfort 27 juli 2017 08:07

Ik ben sceptisch, dit kan denk ik heel veel performance kosten bij grotere bestanden

cdwave @fortfort • 27 juli 2017 10:33

Valt mee, werkt met copy-on-write.

Dit betekent dat er alleen een kopie gemaakt wordt van de plaatsen waar het bestand geschreven wordt. Wat niet overschreven wordt, wordt dus ook niet gekopieerd. Dus als je applicatie een film van 4G opent, hoeft je niet te wachten tot er een kopie van getrokken is. Als de applicatie de film wijzigt, wordt de nieuwe data elders op je disk geplaatst en de oude blijft staan waar hij stond. De enige extra overhead is de administratie om bij te houden welke data sectoren nu bij welke versie van elk bestand horen.

Onder Linux zijn er bestandssystemen die dit standaard met alle files doen, zoals btrfs, dan staat alles eigenlijk onder versiebeheer.

jimbo123 @fortfort • 27 juli 2017 08:20

Deze techniek is al langer bekend en wordt gebruikt door bijvoorbeeld hitmanpro.alert en Sophos Intercept-X. In de kleine lettertjes kun je lezen dat het alleen toegepast wordt voor bestanden <50mb. Om die reden kost het niet veel performance.

fortfort @jimbo123 • 27 juli 2017 08:22

Dus je video verzameling is er dan wel aan...

jimbo123 @fortfort • 27 juli 2017 08:29

Als de ransomware begint met die verzameling, dan ja.
Vaak zal het met andere bestanden beginnen en dus gestopt worden alvorens het die bestanden bereikt.

fortfort @jimbo123 • 27 juli 2017 08:31

Dat is dus vanaf nu zo. Elke nieuwe ransomware begint met bestanden van groot naar klein.

ps werkt directories omzetten naar readonly niet hier tegen?

jimbo123 @fortfort • 27 juli 2017 08:34

Als het account waar het virus onder draait rechten heeft om de readonly flag te verwijderen dan kan het virus dit natuurlijk gewoon doen. Je zou via NTFS rechten moeten regelen dat de files read-only zijn en dan ook nog eens zorgen dat het virus geen rechten krijgt om de rechten aan te passen. Wanneer het virus via een exploit admin-rechten krijgt dan ga je gewoon nat.

Verwijderd @jimbo123 • 27 juli 2017 08:46

Zullen wel SYSTEM rechten zijn

Jester-NL @fortfort • 27 juli 2017 08:30

En daarom maak je backups.
Leuk dat er een tool is die je tegen dit soort dingen beschermt, maar ook deze driver is nutteloos bij een defecte harde schijf.
Sowieso is het niet verstandig om maar op een laag(je) bescherming te leunen.

Verwijderd @Jester-NL • 27 juli 2017 17:40

vroeger was daar een mooi programmatje voor, easy recovery (nog een keer gebruikt na een virus)

Mic2000 27 juli 2017 09:31

Als ik het goed begrijp maakt deze driver hoe dan ook van elk bestand dat wordt opgeroepen een kopie, dat verkort toch enorm de levensduur van je ssd? Kunnen ze niet met machine learning de sleutel uit het geheugen peuteren? (Vast te farfetched)

MSalters @Mic2000 • 27 juli 2017 09:43

Nee, niet bij elk bestand. Onder het artikel staat de beschrijving van het "Copy on write" systeem. Dat is dus geen "copy on read". Elke SSD is toch al "copy on write" intern voor wear levelling, dus de impact is te verwaarlozen. Het enige verschil is wanneer je de ruimte van het het oude overschreven bestand recycled.

mrcage 27 juli 2017 07:40

Microsoft gaat dit niet gebruiken. Ze gaan application guard inzetten samen met security guard? Om dmv van sandboxing het systeem verder te beschermen.

tzunix @mrcage • 27 juli 2017 08:23

Dit lijkt me uiteindelijk ook de betere weg, dat is proactief, preventief. Dit voorkomt door isolatie. Het beschreven bestandsfilter detecteert eerst en reageert daarna, dus is reactief. Reageert dus pas na start van de encryptie ellende die cryptomalware gebruikt. Beter geen dataverlies door encryptie dan wel lijkt me.

densoN @tzunix • 27 juli 2017 09:03

Volkomen mee eens. Waar men lang niet altijd bij stil staat, is het feit dat deze vorm van reactieve bescherming alleen beschermt tegen het verlies van data.

quote van Autoriteit Persoonsgegevens:

Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.

Het lijkt me (in huidige vorm) dus eerder een oplossing voor de thuisgebruikers.

Daarom zie ik ook veel meer toegevoegde waarde in oplossingen als applicationguard en exploitguard (Fall Creators Update). Jammer voor de thuisgebruikers dat dit allemaal enterprise OS features zijn.

[Reactie gewijzigd door densoN op 23 juli 2024 16:25]

MSalters @densoN • 27 juli 2017 09:40

Dubieuze quote. "er moet toegang zijn geweest" - door wie of wat dan? Het hele punt van persoonsgegevens in een database is dat er toegang is. Alleen persoonsgegevens in cold storage backup zijn ontoegankelijk.

Nee, de echte essentie van een datalek is dat er data uit een bedrijf weglekt. Het moet de buitengrens van de organisatie over, en dat is zelden het geval met ransomware.

_ferry_ Moderator CM @MSalters • 27 juli 2017 10:46

Ja, ik vind dat ook een beetje alsof een n00b die quote heeft geschreven.
Stel ik heb een PC vol persoonsgegevens. Zonder netwerkverbinding, en instellingen waarmee je bij wijze van niet naar USB kan schrijven om te voorkomen dat die gegevens worden gekopieerd.
Nu stop ik er een USB stick in met ransomware, en voila, gegevens versleuteld, maar niet weggelekt.

Als je uit beveiligingsoogpunt de gegevens encrypt is het geen datalek, als ransomware dat voor je doet wel.... Hmkay.

densoN @_ferry_ • 27 juli 2017 14:03

De wet meldplicht datalekken is alleen van toepassing op verwerkers. Als jij thuis een ledenlijst hebt van je sportclub wordt je niet beschouwd als verwerker.

Als jij een boekhouder bent en thuis persoonsgegevens van klanten in je boekhoudpakket offline verwerkt (dus gewoon geen internet aansluiting op betreffend systeem) en alle gegevens verloren gaan door het lokaal 'testen' van ransomware waarvan geen kopie aanwezig is, heb je nog steeds met een datalek te maken.

densoN @MSalters • 27 juli 2017 13:59

om data te kunnen versleutelen moet de malware (wat) toegang hebben tot de data (read-write).

Het hoeft niet om een database te gaan. Persoonsgegevens komen ook nog steeds veel voor in werk documenten (office, pdf, etc). Denk aan een csv exports uit databases bijv.

Nee, de echte essentie van een datalek is dat er data uit een bedrijf weglekt. Het moet de buitengrens van de organisatie over, en dat is zelden het geval met ransomware.

Incorrect. De vernietiging (of het ontoegankelijk maken van) van persoonsgegevens waar geen backup van is wordt ook beschouwd als datalek. Een zeer waarschijnlijk voorbeeld in het geval van ransomware. Daarnaast is het voor het gemiddelde bedrijf zeer moeilijk om vast te stellen OF ransomware versleutelde data heeft verzonden naar een remote server. Alsof de ransomware bouwers allemaal static URLs gebruiken en bedrijven overal DPI toepassen.

Om je een idee te geven. Op een cybercrime event waar ik dit jaar nog aanwezig was werd al gesproken van voorbeelden waarbij ransomware data niet alleen encrypt, maar een kopie van alle data in zip formaat upload naar github/pastebin.

Wanneer je als bedrijf besluit om niet te betalen omdat je een goede backup voorziening hebt krijg je na een aantal weken een mail van de hackers of je toch nog wil betalen. Betaal je niet gooien ze de naam van je bedrijf en sleutel met pastebin url op twitter.

Mag je mij vertellen hoeveel IT afdelingen een malicious connectie van een IT systeem (workstation) naar github al blokkeren voordat er een gigabyte aan corp data is gestolen.

[Reactie gewijzigd door densoN op 23 juli 2024 16:25]

Sh0ckTr00per 27 juli 2017 07:38

Als dit breed uitgerold wordt weten de malware developers in elk geval wat ze de volgende keer wat ze moeten aanpassen om deze driver te omzeilen. Maar niet onaardig voor de huis-, tuin- en keukengebruiker die toch bescherming zoekt voor een probleem waar hij gewoon niet mee te maken wil krijgen.

MMMMMMWMM @Sh0ckTr00per • 27 juli 2017 08:32

Sterker nog, in hun presentatie zeggen ze zelf hoe hun systeem omzeild kan worden

DrPoncho @MMMMMMWMM • 27 juli 2017 10:02

Waarom dat hamertje? Het zijn onderzoekers die alle aspecten belichten, geen verkopers die de waarheid verhullen.

MMMMMMWMM @DrPoncho • 27 juli 2017 11:08

Het is eerlijk, maar maakt hun werk wel nutteloos.

Ze kunnen ook gewoon zeggen dat het in 97% van de gevallen werkt. Ook eerlijk en je maakt het (iets) moeilijker voor de hackers.

Martinspire @MMMMMMWMM • 27 juli 2017 13:09

Het is een begin. Lijkt me dat het toch nog niet consumer-ready is, dus dat zijn zaken waar ze vast aan werken.

Interessanter is hoe dit straks beschikbaar moet gaan komen. Lijkt me dat ze dit niet gratis aan gaan bieden? En de vraag is dan of MS er geld in gaat steken.

[Reactie gewijzigd door Martinspire op 23 juli 2024 16:25]

DrPoncho @MMMMMMWMM • 31 juli 2017 12:47

Het maakt hun werk niet nutteloos. Het zorgt ervoor dat andere onderzoekers zich kunnen focussen op gebreken, en dat bedrijven/instanties tijdens een implementatie weten waar de zwakke punten zitten.

Het achterwege houden en stiekem hopen dat niemand erachter komt, dat is nutteloos.

curkey @MMMMMMWMM • 27 juli 2017 15:11

vind ik geen slechte zaak, want je weet wat de zwakheden in je ontwerp zijn. Voor een beetje specialist zijn dit soort dingen triviaal om te achterhalen. Het betreft tenslotte een studie.

goarilla @MMMMMMWMM • 27 juli 2017 22:46

Sterker nog, in hun presentatie zeggen ze zelf hoe hun systeem omzeild kan worden

Doodnormaal in de onderzoekswereld. Maar laat me raden het kan omzeild worden met iets wat doet denken aan TOCTOE races eg: je schrijft eerst een beetje correcte data voordat je begint te encrypteren of je pikt een correct geaccepteerde filehandle ?

LankHoar 27 juli 2017 07:36

Wow, klinkt goed! Hoe komt dit nu naar eindgebruikers dan? Gaat Windows dit standaard in het OS opnemen? Kan ik dit al ergens zelf downloaden?

flossed @LankHoar • 27 juli 2017 08:00

het is de driver die ze gemaakt hebben,. die vangt feitelijk alle lees en schrijf acties af en neemt actie voordat er schade aangericht wordt. Zo een driver zou idealiter ooit door Windows geleverd moeten worden. er is echter een kans dat als je je driver niet op orde hebt, dat deze de oorzaak wordt van gegevens verlies. moet goed ontwikkeld en getest worden dus.

opzich een simpel, edoch effectieve oplossing, overigens niet simpel om te maken.

[Reactie gewijzigd door flossed op 23 juli 2024 16:25]

Chuk 27 juli 2017 08:05

En hoe meer voorbeelden van malware ze kunnen vinden die dit toepast, hoe beter het 'machine learning' deze aanvallen zal herkennen. Want op dit moment lijkt de training dataset mij toch aan de kleine kant.

Niekleair 27 juli 2017 08:06

Ik vraag me ook af in hoeverre dit voor de gemiddelde gebruiker bruikbaar is. Ik heb niet het hele bronartikel gelezen; maar om dit in de praktijk bruikbaar te maken betekent dat dit systeem ook niet te veel schijfruimte in beslag mag nemen en ook de belasting op de rest van het systeem (CPU, RAM etc) mag niet te hoog worden. In potentie een interessante ontwikkeling, dat zeker.

Quas 27 juli 2017 07:36

Shield FS. Waar kan ik het vinden en hoe kan ik het gebruiken. Of gaat Microsoft het inbouwen in windows?

AW_Bos

@Quas • 27 juli 2017 08:41

Het is tot nu toe nog een onderzoeksproject, dus ik acht de kans klein dat het al te downloaden is.

Op dit item kan niet meer gereageerd worden.

Windows-driver ShieldFS detecteert ransomwareaanvallen en herstelt bestanden

Lees meer

IT-banen

Reacties (63)

Sorteer op:

Weergave: